Het gaat om de toepassing
AI versus en voor cybersecurity
Slimme steun voor aanvallers, maar gelukkig ook voor verdedigers
door Jasper Bakker, Eveline Meijer, beeld Shutterstock
Een bekende filosofische uitspraak toegepast op ICT luidt dat technologie in de kern niet goed of slecht is; het gaat om de toepassing. Of de toepasser. Lang geleden heeft securitytesttool SANTA (of: SATAN) voor controverse gezorgd, omdat het te misbruiken is voor aanvallen. Hetzelfde geldt voor pentestpakket Metasploit. En zo zijn er veel meer voorbeelden. Nu in 2023 is het kunstmatige intelligentie (AI) dat tegen én voor cybersecurity kan zijn.
Waarschuwingen en doemscenario’s van securityleveranciers te over dat cybercriminelen hun kwade krachten ineens flink gaan boosten met AI. Afhankelijk van de boodschapper - en diens oplossing en dus zakelijk belang - kan het hier gaan om AI-geschreven phishingmails, AI-gestuurde scans en hacks, AI-geproduceerde malware, of nog iets anders dat door AI een nieuw dreigingsniveau weet te bereiken.
Proost!
Standaard AI-chatbots zoals het nu wel wereldberoemde ChatGPT kunnen al helpen op het eenvoudige niveau van teksten. Overtuigende, lokkende mails van ‘je bank’ of ‘je baas’. Tot op heden vallen veel phishingpogingen wel door gewone gebruikers te detecteren omdat die berichten vaak uit nogal kromme zinnen bestaan. Of opvallend afwijkende woordkeuzes hebben.
Soms zit ‘m dat in gebruikte vertaalsoftware - of een spotgoedkope vertaler? - die nogal één-op-één te werk gaat. Soms zit ‘m dat in gebrek aan kennis over taalgebruik in een land, branche of beroepsgroep. Een mail die afsluit met de begroeting ‘proost’ valt terug te voeren op het Britse ‘cheers’. Maar ChatGPT en opvolgers zijn goud waard voor criminelen, waarschuwt Europol.
Cybercriminelen kunnen hun krachten flink boosten met AI
Automatische malwaremutaties?
Daarnaast brengt de huidige golf aan AI-gedreven innovatie ook het gevaar van automatische malwarecreatie. Of dat volledige, functionele en superieure malware oplevert, is nog de vraag. Maar het kan op z’n minst geautomatiseerde en slimme hulp bieden bij het schrijven en sluw muteren van malware. Microsoft pitcht voor gewone software allang dergelijke developerhulp met zijn CoPilot voor zijn developersplatform GitHub. De lat voor softwareontwikkeling wordt door AI-hulp lager gelegd, óók voor aanvallers.
Terwijl kwaadwillenden steeds vaker AI gebruiken om aanvallen efficiënter te maken, kunnen securityteams kunstmatige intelligentie ook gebruiken om zich beter te verdedigen. AI vindt dan ook steeds vaker zijn weg naar de securitywereld, bijvoorbeeld om beter om te gaan met de vele security-alerts die dagelijks binnenkomen.
Hulp voor overbelaste verdediging
Zo kan voorkomen worden dat er allerlei werk wordt uitgevoerd terwijl dat niet nodig is. “Tussen alle incidenten die binnenkomen, zitten vaak ook tientallen die niets blijken te zijn”, vertelde Patrick de Jong, system engineering manager bij Palo Alto Networks, eerder al aan AG Connect. “Bijvoorbeeld wanneer er een phishingmail is binnengekomen, maar de ontvanger dat tijdig herkend heeft en nergens op geklikt heeft. Dat merkt een systeem aan als incident, maar het behoeft geen opvolging. Dit soort incidenten kun je automatisch laten oplossen. Dan houd je een handjevol over voor de securitywerknemers, maar dat zijn dan ook echt de interessante zaken.”
Omgaan met de informatie-overload van securityalarmeringen is ook deels de pitch die Microsoft houdt voor zijn nieuwe, GPT-4 aangedreven Security Copilot. Die aanvullende beveiligingsfunctionaliteit is bedoeld voor grootzakelijke gebruikers en wordt nu in een besloten testfase doorontwikkeld. Onderzoeksbureau Forrester merkt op dat security meestal laat is met het omarmen van technologische innovatie, maar dat dat nu met AI dus opvallend anders is.
Omgaan met de informatie-overload van securityalarmeringen
Wapenwedloop
Naast false positives zoals tijdig ‘afgeketste’ phishing-aanvallen gaat het ook juist om het detecteren van false negatives. Dus om aanvallen die ten onrechte niet als zodanig worden herkend. "Terwijl de aanvallen in de afgelopen 5 jaar met 67% zijn toegenomen, is de securitysector er niet in geslaagd voldoende securityprofessionals aan te nemen om het tempo bij te houden", aldus Microsoft. "Dit heeft geleid tot securityteams die overweldigd worden in de zoektocht naar goed gecamoufleerde aanvallen binnen een groot volume van groeiend netwerkverkeer en andere signalen."
Overbelaste en schaarse beveiligers ontlasten in de asymmetrische strijd tegen aanvallers, is dan ook één van de grote beloftes van de huidige AI-ontwikkelingen voor cybersecurity. Zeker deep learning kan daarbij helpen, meer nog dan bijvoorbeeld machine learning, vertelde Mark Weber, channel sales engineer van Check Point, tijdens het CPX 360-evenement van die leverancier in maart. Deep learning kan namelijk beter aanleren welke beschrijvingen gelden voor een bepaald incident, scenario of voorwerp dan machine learning.
Tijd en moeite besparen
“Als ik bijvoorbeeld een voertuig beschrijf met vier deuren, vier wielen en een dak, dan zegt machine learning: ‘dat is een auto’. Maar een cabrio is ook een auto, terwijl die maar twee deuren heeft en geen dak. Zo’n classifier moet je dan aanpassen, wat betekent dat je machinelearningalgoritmen constant moet updaten voor veranderende scenario’s. Deep learning werkt meer als een mensenbrein en update zichzelf als het ware. Dat scheelt tijd en moeite.”
Een concreet resultaat daarvan is dat er minder vaak valse positieven voorkomen, ziet Check Point. Het bedrijf zet deep learning in bij zijn Quantum Network Security, waar het aantal valse positieven met 90% is afgenomen. En dat betekent dat het toch al schaarse securitypersoneel geen tijd hoeft te verdoen aan onterechte meldingen, waardoor ook sneller op echte problemen gereageerd kan worden. Want echte securityproblemen zijn er al meer dan genoeg, zelfs zónder inzet van AI voor aanvalsdoeleinden. Gelukkig kan de kracht van AI ook worden aangewend voor de verdediging.